论文2024/702

信号PQXDH握手的安全性分析

摘要

Signal最近部署了一种名为PQXDH的新握手协议，以防止未来量子计算机的“现在收获，以后解密”攻击。为此，PQXDH将量子后KEM添加到先前X3DH握手的Diffie-Hellman组合中。在这项工作中，我们在基于游戏的安全模型中对Signal的PQXDH握手进行了简化安全性分析，该模型捕获了目标“最大暴露”安全性，允许对用户的长期、半静态和短暂密钥材料进行细粒度的妥协。我们增加了之前的此类模型，以不仅捕获添加的KEM组件，还捕获公钥的签名，之前的分析没有捕获公钥，但这为PQXDH中的后量子安全添加了额外的味道。然后，我们为PQXDH的会话密钥安全性建立了一个完全参数化的具体安全边界，特别是阐明了PQXDH安全性所需的KEM绑定属性，以及如何避免它。我们对KEM绑定的讨论补充了Bhargavan、Jacomme、Kiefer和Schmidt对PQXDH的基于工具的分析，该分析指出，如果KEM共享密钥不绑定公钥，则可能会发生重新封装攻击。我们表明，Kyber（用于PQXDH）及其当前NIST标准草案ML-KEM（预计一旦标准化，将取代Kyber）均满足我们引入并依赖于PQXDH分析的新约束概念，这可能具有独立意义。